目录
抓包过程以太网帧(也叫MAC帧)首部分析IP数据包首部分析抓袋过程Wireshark用于抓取包,两个最常用的curl和ping命令用于演示抓取包并打开的情况 。
##先访问自己网站的首页卷毛https://zengzhiqin.kuaizhan.com# #然后查看自己网站的地址ping https://zengzhi Qin . kuai Zhan . com 。
Wireshark根据ping命令获取的地址进行条件过滤,获取上述两个命令获取的数据包,主要包括tcp(https基于tcp协议)和ICMP(ping命令基于ICMP协议)协议,如下图所示:
抢包分析
以太网帧(也称为MAC帧)报头分析
mac帧= 6字节源mac地址6字节目标mac地址2字节类型4字节帧校验序列FCS数据长度(46~1500字节)
MAC帧的长度需要在64到1518字节之间 。过长或过短都是无效帧 。
当一个IP包到达时,mac层会用6个字节分别给它加上一个“源mac地址”和一个“目标MAC地址”,用2个字节表示它是什么类型的IP数据报(目前有IPv4和IPv6两种) 。4字节的“FCS帧校验序列”负责校验帧是否有效,然后IP数据报长度在46到1500字节之间 。
报文捕获中mac帧的内容如下,选择ping的回复类型报文信息进行查看和分析:
以太网帧
小补充:帧校验序列是FCS(frame check sequence),允许接收帧的网卡或接口判断是否有错误 。
判断过程如下:发送网卡使用多项式计算,称为循环冗余校验(CRC),将计算结果写入FCS字段 。接收器接收该帧并执行相同的CRC计算 。如果计算结果与接收到的FCS字段相同,则帧中不会出现错误 。如果没有,接收方认为帧中一定有错误,并丢弃该帧 。
IP数据包报头分析抓包得到的头对应关系如下(1~31位,8位= 1字节):
IP数据包标头
表头的各项内容如下:
版本: TCP/IP 协议版本,是ipv4,还是ipv6;首部长度:告诉数据包,首部长度有多长,因为首部有变长部分(如图中可变部分,试想一下如果当初没有设计这个可变长度,是不需要设计这个“首部长度”的);服务类型:网络中的数据包有着急的,有不着急的,比如你和别人聊微信,这个包就比较着急了,如果你是在发邮件,那么点击了发送让他慢慢溜达过去也是没问题的 。就相当于火车站排队,军属优先,残疾人优先,让列宁同志先走的意思;总长度:首部 数据 的长度,总长度最大是2的16次方-1,即65535字节(上面讲到的数据链路层数据大小最大1500字节别忘了,除去IP首部的20个字节,数据链路层能接受的IP数据大小是1480字节,正因为这两货大小不一样,如果一个数据包大于了1480字节,网络层要把包送给数据链路层传输,才需要后面的分片)标识:用途就是数据包分片之后可以根据标识的编号,将分片的包重新组装为一个完整数据包
碎片化
标志:3bit表示标志,计算机收到了一个包,那他咋知道这是一个完整的数据包,还只是一个分片呢,标志说看我的
推荐阅读
- 香市的作者及分析
- 暴雪“绿茶”公告造成负面影响 分析师称或影响下家接盘
- 人民检察院是什么机关
- SKU产品库的两种设计方案 erp系统分析教程
- 上海机票预订量比两周前增长6倍 机票价格分析
- 上海域名备案的做法和备案中常见问题分析 网上域名备案需要什么
- 绽妍防晒孕妇可以用吗绽妍防晒霜成分分析
- 小车过户需要什么手续
- 彩礼是什么
- 聚类分析中的极小方差怎么算